[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java
virgilio pierini
virgilio.pierini@gmail.com
Ven 21 Maggio 2010 12:26:31 CEST
vi ringrazio per le interessanti risposte
riccardo propone una piattaforma che, se ho inteso bene, è relativamente
recente. la domanda è quindi immediata: ma prima come si faceva?
cioè, la mia vecchia applicazione struts che, nel caso l'utente non avesse i
cockies abilitati, metteva il jsessionid nella get è SUL SERIO così bucata
da permettere ad un altro (il classico Mallory degli esempi wikipedia) di
copiarsi l'url e impersonare il Bob o Alice di turno ?
cioè SUL SERIO ad ogni richiesta il fatto di trovare in Session un oggetto
UtenteAutenticato e fidarsi quindi dell'autenticazione fatta è sbagliato a
fronte di tutte queste tecniche di attacco?
sono confuso =8-0
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/5699dba4/attachment.htm>
Maggiori informazioni sulla lista
ImoLUG